La fondation Python dénonce les règles de cybersécurité de l’UE en attente
Français
La Python Software Foundation (PSF) craint que les lois européennes proposées sur la cybersécurité ne laissent les organisations open source et les individus injustement responsables de la distribution de code incorrect.
“Si la loi proposée est appliquée telle qu’elle est actuellement rédigée, les auteurs de composants open source pourraient assumer la responsabilité juridique et financière de la manière dont leurs composants sont appliqués dans le produit commercial de quelqu’un d’autre”, a déclaré la PSF dans un communiqué partagé mardi par le directeur exécutif. Deb Nicholson.
“Le langage existant ne fait aucune différence entre les auteurs indépendants qui n’ont jamais été payés pour la fourniture de logiciels et les géants de la technologie d’entreprise vendant des produits en échange de paiements des utilisateurs finaux.”
Le langage existant ne fait aucune distinction entre les auteurs indépendants qui n’ont jamais été payés pour la fourniture de logiciels et les géants de la technologie d’entreprise qui vendent des produits
L’année dernière, les législateurs européens ont introduit deux textes législatifs pour traiter de la sécurité et de la responsabilité des logiciels. Et depuis lors, la communauté technique a exprimé son opposition aux règles largement rédigées.
Le Cyber Resilience Act vise à promouvoir la sécurité des produits numériques en obligeant les fabricants de produits à examiner la sécurité des produits, à mettre en œuvre des procédures d’atténuation des vulnérabilités et à divulguer les informations de sécurité aux clients. La période de consultation publique s’est terminée en novembre et la période de consultation publique sur la loi se termine le 25 mai.
Les amendes maximales prévues par la loi peuvent atteindre 15 millions d’euros ou jusqu’à 2,5 % du chiffre d’affaires annuel, selon le montant le plus élevé. Le CRA doit encore être adopté par le Parlement européen et le Conseil.
La loi sur la responsabilité du fait des produits met à jour les règles européennes en matière de responsabilité du fait des produits en incluant, entre autres, les modifications de produits numériques résultant de mises à jour logicielles. Il permet aux consommateurs de demander des dommages-intérêts s’ils sont lésés par des produits rendus dangereux par des révisions de logiciels.
La PSF et d’autres organisations, dont la Fondation Eclipse et NLnet Labs, pour n’en nommer que quelques-unes, exhortent les législateurs européens à clarifier le langage général de la législation proposée afin que les organisations et les développeurs open source ne soient pas tenus responsables des défauts des produits commerciaux qui intègrent leur code.
“Dans le langage actuel, la PSF pourrait potentiellement être financièrement responsable de tout produit qui inclut du code Python, sans jamais avoir reçu de gain monétaire de l’un de ces produits”, a déclaré la PSF, ajoutant qu’un tel risque rendrait impossible pour la fondation de continuer à fournir Python et PyPI (le Python Package Index) en Europe.
L’organisation à but non lucratif, qui supervise et défend le langage de programmation Python à l’échelle mondiale, affirme que tenir les développeurs open source responsables des contributions au code découragerait les contributeurs aux projets open source. Il cite deux passages particuliers comme excessivement larges.
Le premier est l’article 16, qui stipule qu'”une personne physique ou morale, autre que le fabricant, l’importateur ou le distributeur, qui effectue une modification substantielle du produit avec des éléments numériques est considérée comme un fabricant aux fins du présent règlement. “
Cette définition pourrait être interprétée comme signifiant que quiconque apporterait une modification substantielle à un projet open source serait responsable des conséquences de cette modification.
Le second est un passage qui exempte “les logiciels libres et open source développés ou fournis en dehors du cadre d’une activité commerciale” mais définit “l’activité commerciale” comme “la fourniture d’une plate-forme logicielle par laquelle le fabricant monétise d’autres services” – une définition qui pourrait s’appliquent aux organisations telles que PSF qui proposent tout type de produits ou services payants, tels que des t-shirts, des billets pour des événements ou des cours de codage.
La PSF soutient que les législateurs de l’UE devraient prévoir des exemptions claires pour les référentiels de logiciels publics qui servent le bien public et pour les organisations et les développeurs hébergeant des packages sur des référentiels publics.
“Nous avons besoin qu’il soit clair comme de l’eau de roche qui est responsable à la fois des assurances et de la responsabilité que les consommateurs de logiciels méritent”, conclut la PSF.
La PSF demande à quiconque partage ses préoccupations de transmettre ce sentiment à un député européen approprié d’ici le 26 avril, tandis que des amendements axés sur la protection des logiciels open source sont à l’étude.
Bradley Kuhn, chargé de mission au Software Freedom Conservancy, a déclaré Le registre que la communauté des logiciels libres et ouverts (FOSS) devrait réfléchir attentivement à la portée des exemptions recherchées.
“Je crains que beaucoup de FOSS ne tombent dans le piège que les entreprises à but lucratif ont essayé de nous tendre sur cette question”, a-t-il déclaré. “Bien qu’il semble à première vue qu’une exception générale pour les FOSS serait une bonne chose pour les FOSS, en fait, il s’agit d’une tentative pour les entreprises d’amener la communauté FOSS à les aider à contourner leur responsabilité ordinaire en matière de produits. Les entreprises à but lucratif qui déploient des FOSS devraient ont les mêmes obligations de sécurité et de certitude pour leurs utilisateurs que les éditeurs de logiciels propriétaires.” ®
